Face ID: iOS 15 räumt Schwachstelle bei Apples Gesichtserkennung aus
Ein Sicherheitsforscher war offenbar in der Lage, iPhones per 3D-Gesichtsmodell zu entsperren. Apple schließt weitere schwere Lücken.
(Bild: Apple)
- Leo Becker
Apple hat mit iOS und iPadOS 15 eine Sicherheitslücke in dem biometrischen Authentifizierungssystem Face ID behoben: Ein Angreifer mit einem 3D-Modell des Gesichtes des Besitzers sei möglicherweise in der Lage, sich mit Face ID anzumelden, teilte Apple nach der Veröffentlichung der Betriebssystem-Updates mit. Man habe das Problem durch Verbesserung der Anti-Spoofing-Technik ausgeräumt, die genau solche Betrugsversuche erkennen und verhindern soll.
Wenige bekannte Angriffe auf Face ID
Weitere Details zu der Face-ID-Lücke wurden bislang nicht bekannt. Entsprechend bleibt unklar, wie aufwendig die Erstellung einer solchen Maske ist und ob sich damit auch Apples "Aufmerksamkeitsprüfung" überlisten ließ, die kontrolliert, ob das Gerät beim Anmelden auch von einer Person mit geöffneten Augen angeschaut wird. Die Schwachstelle fand nach Apples Angabe der chinesische Sicherheitsforscher Wish Wu des Ant-financial Light-Year Security Lab.
Wu befasst sich offensichtlich seit Längerem damit, biometrische Authentifizierungssysteme wie Face ID auszutricksen. 2019 hatte der Hacker auf der Konferenz Black Hat einen Vortrag angekündigt, der zeigen sollte, wie sich Face ID überlisten lässt – zog diesen aber plötzlich zurück und löste damit Spekulationen aus. Angeblich verwendete er für seinen Hack lediglich ein Schwarzweiß-Foto und Klebeband, möglicherweise funktionierte dies allerdings auch nicht zuverlässig. 2017 hatten vietnamesische Sicherheitsforscher mit einer Zwillingsmaske für Aufsehen gesorgt, mit der sich Face-ID-iPhones angeblich entsperren ließen – auch dabei blieben aber Fragen offen.
iOS 14.8 schließt (mehr) Schwachstellen
iOS und iPadOS 15 beseitigen nach Apples bisherigen Angaben insgesamt 22 Schwachstellen, darunter schwere Lücken in Kernel und WebKit, die das Ausführen von Schadcode ermöglichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt die Fehler in der höchsten Risikostufe 5 und rät zu einem baldigen Update. Viele der Schwachstellen hat Apple diesmal auch schon mit iOS 14.8 beseitigt, wie nun erst bekannt wurde – Nutzer haben die Option auf iOS 14 zu verbleiben, ohne auf Sicherheits-Updates verzichten zu müssen. Die Face-ID-Lücke wurde laut Apple aber nur in iOS 15 behoben. (lbe)
